一.免杀基本概念:
1.免杀就是反病毒技术,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广,其中包含反汇遍、逆向工程、系统漏洞等黑客技术,所以难度很高,一般人不会或没能力接触这技术的深层内容。其内容基本上都是修改病毒、大马的内容改变特征码,从而躲避了杀毒软件的查杀。
2.查杀方式及原理
1.病毒查杀方式:行为和云查杀、静态查杀。
2.静态查杀:一般根据特征码识别到,然后对文件进行特征匹配。
3.云查杀:查每的原理是对文件内容及行为的检测,要实现这个需要唯一确定文件吧, md5?当大文件时,效率较低,随便改个字节都变了,所以就有了提特征(针对所有文件,根据指定位提取唯信息,速度快) 。
4.行为查杀(动态查杀),主要是对其产生的行为进行检测。
5.可构建行为库进行动态查杀。
6.可构建E志库对日志库进行动态查杀。
7.统计学检测一2 构建特征学习模型一> 进行动态查获取。
二、免杀必备的汇编知识
1、push压栈,栈是种数据结构,记住四个字:先进后出。压栈就是把数据放如栈中,从栈顶放如,
出杭的时候也是从栈顶取出,所以会有先进后出的特点!先进后出我们可以这样理解,例如: 一个乒乓球筒,我们放入乒乓球,然后取出乒乓球,取出的都是就后放进的球。就如我们放入球的顺序是球1、2、3、4,取出的顺序是球4、3、2、1. pop出栈,与push相对应。
2、mova, b把b的值送给a,把它看作编程中的赋值语句就是b赋值给a,这时a的值就是b了。
nop无作用,就是什么也没做。
retn从堆栈取得返回地址并跳到该地址执行。
最低0.47元/天 解锁文章
482
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
